Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

DDoS via NTP-Reflection

8. Jänner 2014

In den letzten Wochen kam es vermehrt zu Distributed Denial of Service-Attacken mittels NTP-Reflection. Potentielle Angreifer machen sich hierbei den in älteren Versionen des Daemons standardmässig aktivierten monlist-Befehl zu Nutze. Hierbei handelt es sich um einen Befehl der dem Angreifer eine Liste der letzten 600 Hosts die sich mit dem NTP-Server verbunden haben zurückliefert. Nicht nur bedeutet dies, dass unter Umständen sensible Informationen über das gesamte Netzwerk erhalten werden können, aufgrund der Grösse der retournierten Pakete eignet es sich auch für reflektierte DDoS-Attacken.

Das Ausnutzen dieser Schwachstelle ist sehr einfach, der Netzwerkscanner nmap bietet ein monlist-Modul zur Informationssammlung, das Penetrationstestframework Metasploit kommt mit einem eigenen Modul für DDoS-Attacken mittels monlist. Um zu testen, ob die eigene Installation anfällig für diese Art von Angriff ist reicht es auf UNIX-artigen Systemen den folgenden Befehl in der Shell auszuführen:

ntpdc -n -c monlist 127.0.0.1

Sollte daraufhin vom Server eine Liste an zuletzt verbundenen Clients ausgegeben werden ist der Server anfällig für die genannte Attacke.

Der einfachste Weg den Missbrauch des eigenen NTP-Servers zu verhindern ist durch ein Upgrade auf die Version 4.2.7 oder höher, mit dieser fällt der monlist-Befehl vollständig weg. Sollte ein Upgrade keine Option darstellen ist es möglich den Daemon mit der Option "disable monitor" zu starten.

Weitere Informationen zur Absicherung von NTP-Software für andere Systeme (Cisco, Juniper) finden sich in einem Artikel von Team Cymru.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
DNS Flag Day am 01.02.2019
22. Jänner 2019 | Am ...
Datenleak - mal ganz ohne Hype
11. Jänner 2019 | Man ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/1/10 - 17:00:17
Haftungsausschluss / Datenschutzerklärung